Im Zentrum des Beitrags von ANY.RUN steht ein wiederkehrendes Problem: Entscheidungen fallen, bevor Beweise vorliegen. Verlassen sich Analysten auf Teilsignale wie Labels, Hash-Treffer oder Reputationsdaten, geben sie Fälle frei oder eskalieren sie, ohne gesehen zu haben, was die Datei oder der Link tatsächlich tut. Das begünstigt Fehlalarme, übersehene Bedrohungen, langsamere Eindämmung und höhere Kosten pro Fall.
Die vorgeschlagene Gegenmaßnahme ist, Verhalten bereits bei der Triage zu prüfen statt erst später. Eine Sandbox mache das praktikabel, indem sie die reale Ausführung mit Prozessaktivität, Netzwerkaufrufen, Persistenz und kompletter Angriffskette zeige. ANY.RUN verweist auf eigene Nutzerangaben, wonach sich die Angriffskette in etwa 90 Prozent der Fälle in rund 60 Sekunden erkennen lasse.
Als zweites Problem nennt der Anbieter uneinheitliche Urteile: In vielen SOCs hänge das Ergebnis davon ab, wer einen Alarm bearbeitet. Erfahrene Mitarbeiter schließen Fälle schneller, weil sie Muster erkennen, während Tier-1-Kräfte mangels Kontext eskalieren. Geteilte Beweise und wiederholbare Schritte sollen Tier 1 zu denselben Schlüssen verhelfen wie erfahrene Kollegen; gemeinsame Sandbox-Sitzungen und Team-Funktionen sollen Wissen aus einzelnen Köpfen lösen.
Drittens behandelt ANY.RUN Triage als Geschwindigkeitsproblem. Manuelle Prüfungen und eingereihte Eskalationen verlängern die Verweildauer von Angreifern und führen zu verpassten SLAs. Werden verdächtige Dateien und URLs sofort detoniert und wird die Angriffskette oft in unter einer Minute sichtbar, ließen sich nach Betriebsdaten bis zu 21 Minuten der mittleren Reaktionszeit (MTTR) pro Fall einsparen.
Viertens geht es um den Eskalationsstau: Wenn Tier 1 “sicherheitshalber” weiterreicht, wird Tier 2 zur Prüfinstanz für Grenzfälle und verliert Kapazität für schwerwiegende Vorfälle. Kann Tier 1 Alarme selbst bestätigen oder verwerfen, bleibe Tier 2 auf echte Vorfälle konzentriert. ANY.RUN nennt dazu KI-gestützte Hinweise während der Analyse, automatisch erzeugte Berichte und einen eigenen Reiter für Kompromittierungsindikatoren (IOCs); so seien bis zu 30 Prozent weniger Eskalationen von Tier 1 zu Tier 2 erreichbar.
Fünftens adressiert der Beitrag wiederkehrende Handarbeit — das Verfolgen von Weiterleitungsketten, der Umgang mit CAPTCHAs oder das Aufdecken versteckter Links in QR-Codes. Moderne Sandbox-Umgebungen verbinden Automatisierung mit menschenähnlicher Interaktivität und übernehmen solche Schritte automatisch. Das könne die Arbeitslast von Tier 1 um bis zu 20 Prozent verringern.
Fehlerhafte Triage wirke selten dramatisch, so das Fazit des Anbieters, sondern verlangsame Reaktionen unauffällig und halte echte Bedrohungen länger offen. Teams, die auf beweis- und ausführungsbasierte Triage umstellten, meldeten messbare Verbesserungen bei Geschwindigkeit, Verlässlichkeit und Skalierbarkeit.
